Fachada de una ferretería iluminada al atardecer en una avenida de Quito con el cielo nublado típico de los Andes, simbolizando una PYME ecuatoriana afectada por ransomware
Volver al blog

Ransomware Gentlemen ataca a Grupo Pasquel en Quito

El 21 de mayo el grupo de ransomware Gentlemen reclamó haber comprometido a Grupo Pasquel, dueño de la cadena Mi Ferre con sede en Quito. El ataque entra en una ola que ya golpeó a 352 víctimas en 2026 con LatAm como uno de los focos preferidos. Análisis y plan para PYMEs ecuatorianas.

#seguridad #ransomware #ecuador #pyme #lopdp
· 18 min de lectura

El 21 de mayo de 2026, el portal Ransomware.live detectó una nueva víctima publicada en el sitio darkweb del grupo conocido como Thegentlemen: Grupo Pasquel, una empresa quiteña con más de tres décadas en construcción y retail ferretero, dueña de la marca Mi Ferre y con presencia logística en buena parte del Ecuador. La nota corta dice más de lo que parece: por primera vez en lo que va del año, un grupo de ransomware del top global elige públicamente a una empresa familiar ecuatoriana como vitrina de presión. No es un caso aislado — es la confirmación de que LatAm se consolidó como el segundo destino más activo del ransomware mundial, y Ecuador deja de estar fuera del mapa.

Este post recoge lo que se sabe verificable del ataque a Grupo Pasquel, perfila al grupo Gentlemen con sus TTPs documentadas, explica por qué la región del Cono Sur y Andina aparece sobre-representada en 2026, y entrega un plan defensivo concreto que cualquier PYME ecuatoriana puede ejecutar antes del fin de semana. Si gestionás una empresa con sistemas Windows, ERP local, NAS o cualquier servidor expuesto a internet, lo que sigue es para vos.

Lo que se sabe verificable del ataque

Hechos confirmados a partir de fuentes públicas — Ransomware.live, reportes de WatchGuard y publicaciones del actor en X:

  • El 21 de mayo de 2026 Ransomware.live indexa la entrada Grupo Pasquel@thegentlemen en el listado público de víctimas reclamadas.
  • La cuenta de inteligencia ciudadana chum1ng0/security research confirma la publicación en el sitio darkweb de The Gentlemen acompañada de los hashtags #Ecuador #Quito #DarkWeb #TheGentlemen #ciberataque.
  • Grupo Pasquel no ha emitido (al momento de cierre de este post) un comunicado público confirmando ni desmintiendo el incidente. La página web corporativa y los perfiles institucionales siguen activos.
  • No hay aún muestras del data dump publicadas en abierto. En la operativa típica de Gentlemen, esa muestra aparece entre 72 y 120 horas después del primer post si la víctima no entabla conversación de rescate.

Lo que no se sabe todavía, y que es importante destacar por honestidad informativa:

  • Qué volumen de información fue exfiltrado.
  • Si el ataque incluyó cifrado de sistemas productivos o solo robo de datos (estilo steal-only).
  • Cuándo ocurrió la intrusión inicial — la publicación del 21 de mayo suele suceder semanas después del acceso original.
  • Si los sistemas de punto de venta de las tiendas físicas de Mi Ferre fueron afectados.

Volveremos a este post si Grupo Pasquel publica un comunicado oficial o si la información del darkweb se actualiza con muestras del dump.

Quién es Grupo Pasquel y por qué su caso importa

Grupo Pasquel es una empresa familiar quiteña con más de 30 años en el rubro de la construcción y la ferretería retail. Su marca de cara al público, Mi Ferre, opera tiendas físicas en varias provincias del país y un servicio de logística que abastece tanto a profesionales del sector construcción como a clientes finales. En términos de ecosistema, es exactamente el tipo de empresa que ningún titular nombra hasta el día en que se vuelve un caso de estudio: facturación sólida, infraestructura mixta entre cloud y on-premise, equipo de TI pequeño pero competente, y exposición real al ransomware del momento.

Por qué importa que sean ellos los publicados:

  • No es una multinacional que pueda escudarse en un equipo de incident response interno. Es la PYME representativa que cualquier empresario ecuatoriano del retail puede usar como espejo.
  • El sector ferretero depende de inventarios precisos y de un ERP que no puede estar caído más de horas sin perder ventas y descalibrar el stock. Es un sector sensible al tiempo de recuperación, que es exactamente lo que los grupos como Gentlemen explotan para forzar el pago.
  • La logística suma una capa de exposición adicional. Sistemas de ruteo, integración con transportistas, datos de clientes corporativos — todo es información valiosa para vender en foros o para revender a competidores.
  • El hecho mismo de la publicación ya causa daño reputacional aunque no haya cifrado. Proveedores y clientes corporativos van a pedir auditorías de seguridad la próxima semana.

Quién es Thegentlemen: el perfil que conviene tener en mente

Gentlemen (también escrito The Gentlemen o Thegentlemen) emergió públicamente en la segunda mitad de 2025 y para el primer trimestre de 2026 ya ocupaba el segundo puesto del leaderboard global de ransomware con cerca de 250 ataques en Q1, solo por detrás de Qilin (400+). Para el 10 de mayo el conteo público del año ya estaba en 352 víctimas reclamadas. Tres datos que conviene retener:

  • Modelo de negocio: Ransomware-as-a-Service (RaaS) anunciado abiertamente en foros criminales, con la oferta de un 90% del rescate para los afiliados (uno de los repartos más generosos del mercado, diseñado para atraer talento ofensivo).
  • Liderazgo aparente: vinculado a un actor de habla rusa conocido como hastalamuerte, que viene del ecosistema de afiliados de Qilin antes de levantar marca propia. El detalle del alias en español no es casualidad — sugiere intención deliberada de operar contra mercados hispanohablantes.
  • Cobertura técnica: ataques documentados contra entornos Windows, Linux, NAS, BSD y VMware ESXi. Eso significa que ninguna PYME que crea estar a salvo “porque corremos Linux” o “porque virtualizamos en ESXi” lo está realmente.

Las TTPs que ya documentamos

A partir de la investigación pública de Group-IB, Cybersecurity News y Dark Reading, la cadena de ataque típica de Gentlemen sigue este patrón:

  1. Acceso inicial vía credenciales robadas (compradas en foros de IAB — Initial Access Brokers) o vía servicios remotos expuestos a internet sin MFA: RDP, VPNs sin parchar, paneles de administración de routers MikroTik o equivalentes.
  2. Persistencia y movimiento lateral apalancado en SystemBC, un proxy malware que establece un túnel cifrado hacia el C2 y permite al atacante moverse por la red corporativa sin disparar las alertas típicas de tráfico inusual.
  3. Reconocimiento de activos críticos — Active Directory, controladores de dominio, servidores de archivos, NAS, hosts ESXi. Aquí es donde el ataque puede tardar días o semanas observando antes de actuar.
  4. Exfiltración de datos previa al cifrado (“doble extorsión”). Roban primero, encriptan después. Si la víctima no paga, publican la información robada en el darkweb. Este es el momento en el que Grupo Pasquel parece estar ahora: el data en mano del atacante, todavía sin liberación pública del dump.
  5. Cifrado optimizado por tamaño: archivos chicos se encriptan completos; archivos grandes (bases de datos, máquinas virtuales, archivos de respaldo) se encriptan en chunks parciales. Esa optimización es lo que les permite recorrer un datacenter completo en horas, no días — y deja al equipo de TI con la sensación de que “todo está dañado” aunque solo lo esté en bloques estratégicos.
  6. Demanda de rescate acompañada de una nota visible y una cuenta regresiva pública en el darkweb. Si la víctima no responde en plazo, escalan: primero publicación de muestras, después la base completa.

Este flujo es industrializado, repetible y barato de ejecutar para el afiliado. Por eso el grupo crece tan rápido.

Por qué LatAm es el segundo destino más atacado del mundo

Los números del primer trimestre 2026 que Cyber Press sintetiza son inequívocos: 2.122 organizaciones víctimas globalmente en Q1, con LatAm subiendo más rápido que cualquier otra región. La distribución por país en el período (datos agregados de ESET, Recorded Future y los propios sitios darkweb):

PaísAtaques Q1 2026Variación vs Q1 2025
Brasil50+24%
México30+18%
Argentina18+50%
Chile12+33%
Colombia11+57%
Perú9+80%
Ecuador7+108% YoY (Q1 2025)
Venezuela5+25%
Paraguay3nuevo
Guatemala3+200%
Panamá2+100%
República Dominicana2nuevo

Tres lecturas que importan para una PYME ecuatoriana:

  • Ecuador tuvo el mayor crecimiento porcentual interanual de la región en el último ciclo medido. Pasar de un volumen bajo a un volumen pequeño-medio no parece grave en absolutos, pero en términos de aceleración significa que los atacantes están descubriendo el mercado.
  • El total LatAm pasó de aproximadamente 250 ataques en 2024 a más de 450 en 2025 — un 78% de incremento en un solo año, según el reporte de Recorded Future. La proyección para 2026 sobre la base de Q1 sugiere superar los 800 ataques regionales antes de cerrar el año.
  • Gentlemen específicamente concentra su actividad en APAC y LatAm — solo el 13% de sus víctimas globales son estadounidenses, frente al promedio de casi 50% del resto del ecosistema. La interpretación de Group-IB es que los afiliados explotan regiones donde ya tienen acceso establecido vía credenciales compradas en foros, en vez de cazar geografías objetivo. Ecuador está en esa lista de “acceso ya establecido”.

Esto no es una hipótesis abstracta. En lo que va de 2026 ya cubrimos en este blog los ataques de TeamPCP a la cadena de suministro npm con Mini Shai-Hulud y el breach a GitHub vía extensión maliciosa de VS Code. Son la cara global del mismo fenómeno regional: 2026 es el año en que la cadena de confianza del software y la cadena operacional de las empresas reciben presión simultánea.

Plan defensivo para PYMEs ecuatorianas esta semana

Siete acciones concretas en orden de prioridad. Tiempo total de implementación si arrancás desde cero: una semana intensa o dos semanas cómodas para un equipo de TI de 2-4 personas.

1. Inventariá la superficie expuesta a internet

Antes del próximo lunes, listá todo lo que tu empresa tiene público en internet con un IP o un dominio: paneles RDP, VPNs, servidores de correo on-premise, routers con admin habilitado, servidores web, paneles de administración de aplicaciones, MikroTik, NAS Synology o QNAP accesibles. Cualquier puerto abierto sin justificación productiva es deuda de seguridad inmediata.

# Desde una IP externa, contra tu dominio corporativo
nmap -Pn -p- -T4 tu-empresa.com.ec

Si el resultado tiene más de cinco puertos abiertos, tenés más superficie de la que necesitás. Cerrá todo lo que no esté justificado.

2. Forzá MFA en todo lo que tenga login externo

Si tus VPN, RDP, Office 365, Google Workspace, ERPs cloud, o cualquier consola administrativa permite login sin segundo factor, es la vulnerabilidad #1 que Gentlemen y sus pares explotan. No hay parche más barato y de mayor retorno que activar MFA esta semana. Para usuarios resistentes al cambio: TOTP por app (Google Authenticator, Authy, 1Password) en vez de SMS.

3. Parche urgente de servicios remotos

Aplicá esta semana los parches críticos de los últimos 90 días sobre cualquier servicio expuesto a internet:

  • VPN (Fortinet, SonicWall, Cisco, OpenVPN — todos tuvieron CVEs críticas en los últimos meses).
  • Routers MikroTik (RouterOS, especial atención a versiones anteriores a la 7.15).
  • Servidores RDP — si todavía tenés 3389 abierto al mundo, cerrálo hoy y montá la conexión detrás de una VPN con MFA.
  • Hipervisores ESXi (los ESXiArgs y derivados son munición preferida del ecosistema).

4. Aislá los backups con regla 3-2-1-1-0

La regla evoluciona. La versión 2026:

  • 3 copias de cada dato crítico.
  • 2 medios distintos (disco + cinta o disco + cloud objetal).
  • 1 copia off-site.
  • 1 copia inmutable (S3 Object Lock, Azure Blob WORM, Backblaze B2 con object lock).
  • 0 errores verificados con restauración mensual de prueba.

Los backups conectados al dominio Active Directory son la primera víctima en cualquier ataque moderno. Si tu solución de backup se autentica con una cuenta de dominio que el atacante puede comprometer, no tenés backups — tenés un señuelo.

5. EDR en endpoints y servidores, no solo antivirus

Un antivirus tradicional no detiene a Gentlemen. Necesitás una solución EDR (Endpoint Detection and Response) con comportamiento sospechoso monitoreado y posibilidad de aislar máquinas remotamente. Opciones razonables por presupuesto para PYMEs ecuatorianas:

  • Microsoft Defender for Endpoint Plan 1 o 2 (incluido en algunas licencias Microsoft 365 Business Premium — verificá lo que ya pagás).
  • CrowdStrike Falcon Go para PYMEs pequeñas.
  • SentinelOne Singularity Core.
  • Bitdefender GravityZone Business Security — opción popular en LatAm por precio y soporte regional.

Ninguno es gratis, pero el costo anual de un EDR para 25 endpoints es típicamente menor al ticket promedio de rescate que pide un afiliado de Gentlemen.

6. Plan de respuesta a incidentes en un documento de una página

No necesitás un manual de 40 páginas. Necesitás una hoja de ruta clara para los primeros 60 minutos después de detectar un incidente:

INCIDENTE DETECTADO

1. Aislar la máquina afectada (cable de red fuera o aislamiento via EDR)
2. NO apagar — los analistas forenses necesitan la RAM viva
3. Llamar al responsable de TI principal (teléfono: _____)
4. Llamar al asesor externo de respuesta (teléfono: _____)
5. Notificar a Gerencia General
6. Activar el grupo de WhatsApp "Crisis-IT"
7. NO comunicar nada externamente hasta tener evaluación inicial
8. Comenzar timeline de eventos en documento compartido

Imprimilo. Pegalo en la pared del data center y al lado del escritorio del responsable de TI. En un incidente real, nadie va a buscar el SharePoint.

7. Suscribite a inteligencia local

Suscribiciones gratuitas que dan retorno real:

  • Ransomware.live — alertas RSS de víctimas publicadas en darkweb.
  • Boletines del EcuCERT y de la Secretaría de Telecomunicaciones.
  • BleepingComputer, The Hacker News, WeLiveSecurity (ESET LatAm) — todos publican en español parte del contenido y son la mejor fuente para entender la coyuntura sin paywall.

La Ley Orgánica de Protección de Datos Personales (LOPDP) ecuatoriana, vigente desde 2023, obliga al responsable del tratamiento a notificar al titular y a la Superintendencia de Protección de Datos cuando un incidente de seguridad afecte significativamente los derechos de los titulares de datos. La interpretación administrativa hasta la fecha:

  • El plazo para notificar al titular y a la autoridad es lo antes posible, con un techo razonable de 72 horas desde el momento del conocimiento del incidente — alineado con el estándar GDPR del que se inspira la LOPDP.
  • La sanción por incumplimiento de la obligación de notificación puede llegar al 1% de la facturación anual del año anterior según la categorización de la infracción.
  • La notificación debe incluir descripción del incidente, naturaleza de los datos afectados, número aproximado de titulares afectados, consecuencias y medidas tomadas. No alcanza con un comunicado genérico.

Para Grupo Pasquel y cualquier otra empresa ecuatoriana en posición similar, esta semana es momento de documentar internamente — aunque no haya certeza sobre el alcance — la cronología de detección y las medidas tomadas. Esa documentación es el insumo principal para una eventual notificación formal a la SPDP y para las preguntas que clientes corporativos van a hacer en los próximos días.

Tabla resumen

PreguntaRespuesta corta
¿Cuándo se publicó la víctima?21 de mayo de 2026 en Ransomware.live
¿Quién atacó?Grupo Thegentlemen, afiliado posiblemente vinculado a hastalamuerte
¿Modelo del grupo?RaaS con 90% para afiliados, top 2 global en Q1 2026
¿Sistemas que comprometen?Windows, Linux, NAS, BSD, VMware ESXi
¿Vector típico?Credenciales robadas, RDP/VPN sin MFA, SystemBC para lateral
¿Foco regional?APAC y LatAm; solo 13% de víctimas en USA
¿Acción defensiva #1?MFA en todo login externo + cerrar puertos innecesarios
¿Obligación legal Ecuador?LOPDP: notificar a SPDP y titulares afectados en ~72 horas

Preguntas frecuentes

¿Mi empresa debería pagar el rescate si la atacan?
La recomendación operativa del FBI, Europol, EcuCERT y la mayoría de aseguradoras cyber es no pagar. Las razones: pagar no garantiza la entrega del decryptor, financia futuros ataques contra otras empresas, y en muchos casos los atacantes vuelven a la misma víctima meses después. Además, pagar puede tener implicaciones legales si el grupo está bajo sanciones internacionales. La mejor defensa es no llegar a ese punto — invertir en prevención y backups inmutables sale infinitamente más barato que el ticket promedio.
¿Una empresa de 15 empleados realmente puede ser objetivo de un grupo como Gentlemen?
Sí, y la evidencia empírica de Q1 2026 lo confirma. Los afiliados de RaaS no eligen víctimas por tamaño sino por facilidad de acceso. Si tu empresa tiene un puerto RDP abierto sin MFA y un usuario administrador con contraseña reutilizada, sos un target tan válido como un banco — la diferencia es que el ticket de rescate va a ser proporcionalmente más doloroso para tu caja. El mito de seguridad por oscuridad murió: las PYMEs son explotables, baratas y poco defendidas, exactamente lo que los afiliados buscan.
¿Cuánto cuesta implementar las recomendaciones de este post para una PYME de 25 personas?
Una estimación razonable basada en precios LatAm 2026: MFA via Microsoft 365 Business Premium incluido en lo que ya pagás (USD 22/usuario/mes incluye Defender for Endpoint y MFA), EDR alternativo si no usás Microsoft USD 60-120/endpoint/año, solución de backup inmutable cloud USD 500-1500/mes según volumen, auditoría inicial externa USD 1500-4000 una sola vez. Total año uno: aproximadamente USD 8.000-15.000 para una empresa de 25 personas. El ticket promedio de Gentlemen para una PYME de ese tamaño ronda los USD 50.000-150.000.
¿Mi backup en Google Drive o OneDrive me protege contra ransomware?
Solo parcialmente. Google Drive y OneDrive sincronizan automáticamente cualquier cambio local — incluida la encriptación maliciosa. Sin configuración adicional, una máquina infectada sincroniza los archivos ya encriptados al cloud, perdiendo las versiones originales. La protección real viene de activar version history extendido (Microsoft 365 conserva 25 versiones por archivo por defecto), Vault inmutable, y idealmente una copia independiente en otro proveedor con object lock. Tratar el OneDrive como único backup es un error operativo que ya pagaron decenas de PYMEs en 2024-2025.
¿La nube pública es más segura que mi servidor on-premise contra ransomware?
No automáticamente. Una mala configuración en AWS o Azure es tan vulnerable como un Windows Server 2012 sin parchar en una sala con polvo. Lo que la nube facilita es: parchado automático del sistema operativo, segmentación de red más granular, identidad federada con MFA fuerte, backups inmutables a un click, y desactivación de superficies que en on-premise olvidás cerradas. Pero todo eso requiere configurarlo. La nube mal usada es solo un on-premise más caro y más expuesto.
¿Qué hago si descubro hoy que mi empresa ya fue comprometida pero todavía no se hizo público?
Primero, no apagues nada — la RAM viva contiene evidencia forense crítica que se pierde al reiniciar. Segundo, aislá las máquinas comprometidas de la red (desconectá el cable o usá el EDR para aislar). Tercero, llamá a un servicio profesional de respuesta a incidentes (DFIR) ese mismo día — en Ecuador hay opciones razonables a través de los partners regionales de Mandiant, IBM, CrowdStrike y firmas locales. Cuarto, documentá todo en un timeline con timestamps. Quinto, evaluá con tu equipo legal la obligación de notificar bajo LOPDP. NO intentés negociar con el atacante por tu cuenta — eso requiere especialistas que sepan cómo no empeorar la situación.
¿Por qué el grupo se llama 'Gentlemen' si secuestra empresas?
El branding es deliberado. Los grupos de ransomware modernos se posicionan como 'profesionales' que entregan un decryptor confiable a quien paga, en contraste con las primeras generaciones que a veces ni siquiera tenían el decryptor funcional. La narrativa de 'caballeros' busca generar confianza con la víctima para acelerar el pago. No te confundas con el branding: detrás del nombre hay un negocio criminal industrializado con afiliados, soporte 24/7 y sitios de presión profesionalizados. Lo único 'gentleman' del grupo es el copywriting.
¿Sirve contratar un seguro cyber si soy una PYME ecuatoriana?
Cada vez menos automáticamente. Las aseguradoras endurecieron requisitos en 2024-2026: exigen MFA, EDR, backups testeados, plan de respuesta documentado y a veces auditoría externa antes de emitir póliza. Si tu organización ya cumple los requisitos, el seguro es una pieza más del puzzle defensivo y puede cubrir parte del costo de respuesta, no solo el rescate (que muchas pólizas explícitamente excluyen). Si no cumplís los requisitos básicos, ni tendrás cobertura, ni vale la pena pagar la prima. La secuencia correcta es primero implementar controles, después contratar seguro como complemento — nunca al revés.

Azirgo

¿Listo para construir tu Producto Digital?

Sitios web, apps móviles, software a medida y soluciones blockchain. Cuéntanos qué tienes en mente y armamos un plan claro contigo.

  • Cotización clara en 48 horas
  • Equipo en Ecuador, atención en español
  • Desde un MVP hasta un producto en producción
Empezar cotización Ver portafolio

O escríbenos a contacto@azirgo.com